相位编码实现光路图 2）基于量子密钥的 IPSec 加密技术 基于量子密钥的 IPSec 加密技术是在传统的 IPSec 架构基础上， 采用量子密钥对以太网网络数据包进行加密，量子密钥定期自动更 新，可为以太专网提供传统加密系统无法比拟的高安全保密通信。 (二) 技术优势/成熟度分析 1）技术优势 F-M 相位编码方案是复杂光纤环境中实现稳定高效量子密钥分 发的核心技术，能实现全线路扰动完全免疫，适用于地埋光纤、架 分 发 层 量 子 密 钥 管 理 层 量 子 密 钥 应 用 层 隧道 隧道 隧道 密钥池 密钥池 密钥池 密钥池 密钥管理中心 设备管理中心 图 28 宁苏量子加密干线通信网络三层架构 量子密钥分发层由量子密钥分发终端（QKD）构成，负责协商 生成和分发量子密钥。项目采用问天量子研发的基于 F-M 相位编码 方案的诱骗态 BB84 QKD 设备，工作频率为 50MHz。在宁苏量子加 保持在 0.89%~2.06%左右的较低水平，安全密钥成码率处于 2kbps~13kbps 之间，确保量子密钥生成与分发过程稳定、高效、安全。 量子密钥管理层由设备管理中心和密钥管理中心构成，通过部 署量子密钥服务器（QKS）和量子密钥管控系统（QKM）进行量子 设备和密钥管理，实现端到端用户之间的量子密钥传输与中继。 量子密钥应用层由量子安全网关（QVPN）、应用客户端构成，

而机密容器技 术的推出，更是将 AI 运行时与 TEE 安全保护相融合，兼顾大模型的安全与性能。 在通信安全方面，HCIST 构建了端云协议安全以及 Unisec 安全通信体系，并通过可信群组密钥隔离、 线速加密传输、PHYSec 物理层安全加密等技术，覆盖包括 Scale-Out 与 Scale-Up 等计算网络新形 态，保障跨节点、跨集群环境中的算力调度与数据传输安全。 HCIST Engine，KAE）硬件加速能力， 实现了安全性、性能与合规性的统一。 国密算法体系主要包括 SM2（椭圆曲线公钥加密与签名）、SM3（消息摘要）与 SM4（分组对称加 密）等核心标准。这些算法在理论基础、工程实现、密钥管理等多个层面，充分考虑了我国在密码 文档版本 V1.0 版权所有 © 华为技术有限公司 8 基础设施和密码合规上的发展要求。鲲鹏商密应用模块全面支持这些算法，采用 GMT0018 中，由密码模块 TA 组件完成算法调 用与密钥管理操作，图 4 展示了 TrustZone 环境中的国密模块。TrustZone 提供的可信执行环境确 保 SM 算法的实现逻辑与执行路径不被篡改，不被外部访问。每一次加解密操作、签名验签请求， 均在可信执行环境的保护下执行，密钥材料不会在主机环境中暴露，即使 REE 侧系统被攻破，也无 法恢复出密钥或中间数据。这种“密钥不出可信执行环境、算法只在受控空间运行”的架构设计，满足

系统的核心资产，其安全性直接影响推理结果的可靠性。阿里云围绕模 型存储、传输与加载全过程，建立了保护机制。 ● 静态的模型文件加密：阿里云一站式模型训练推理平台支持加密模型文件，并依 托 KMS 实现模型加密密钥托管。模型部署时，系统仅在安全容器中解密加载，解密 后的明文数据不落盘、不共享，杜绝模型在存储与传输阶段的泄露风险。 ● 模型文件访问控制与操作审计：阿里云内部通过 RAM 细粒度权限策略、独立 EBS、关系型数据库 RDS、对象存储 OSS）均支持一键开启加密功能，无需额外配 置即可满足大规模数据的加密存储需求。此外，部分产品也支持 BYOK（自带密钥） 模式，客户可将自行生成的密钥导入至阿里云 KMS 中，由 KMS 托管密钥并用于数据 加密操作，进一步增强数据主权控制。 ● 机密计算：阿里云 AI 基础设施支持机密计算（Confidential Computing），通过 效拦截 威胁，最大限度地保障客户资产安全。 ● 原生集成：阿里云百炼平台的安全能力均无缝集成了阿里云久经考验的旗舰级安 全产品与服务，包括但不限于 AI 安全护栏、RAM（访问控制）、KMS（密钥管理服务）、 PrivateLink（私网连接）及 ActionTrail（操作审计）。这种原生集成方式，使用户无 需进行复杂的二次开发与配置，即可获得与阿里云公共云服务同等级别的、统一且一 致的安全体验与保障。

Symantec）安全产品线，专注安全领域；2011 年，成立安全能力中心，专攻研发安全 能力；2012 年，华为网络安全产品国内市场占有率第一；2015 年，云安全解决方案及 服务全面上线；2016 年，云安全全球化布局，密钥管理服务（KMS）和防 DDoS 攻 击服务（Anti-DDoS）在德国、西班牙上线；2017 年，推出 DDoS 高流量防护（高 防）、数据库防火墙等系列高增值安全服务；2018 年，推出专属加密服务（DHSM）。 SaaS 类各项云服务内部的安全以 及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚 拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据， 以及身份账号和密钥管理等方面的安全配置。 ⚫ 租户的安全责任细节由最终所使用的云服务来决定，具体到租户负责执行什么默 认和定制的安全配置。对于华为云的各项云服务，华为云只提供租户执行特定安 全任务所需的资源、功 项具体的数据安全配置，对其保密性、完整性、可用性以及数据访问的身份验证 和鉴权进行有效保障。在使用统一身份认证服务（IAM）和数据加密服务 （DEW）时，租户负责妥善保管其自行配置的服务登录账户、密码和密钥，并负 责执行密码密钥设定、更新和重设规则的业界优秀实践。租户负责设置个人账户 和多因子验证 (MFA)，规范使用安全传输协议与华为云资源通信，并且设置用户 活动日志记录用于监测和审计。 租户负责对其自行部

多 维度的技术差异化突破。双方不仅在技术层面展开激烈竞争，更在产业生 态与地缘战略中相互博弈，试图将量子优势转化为未来军事、安全与经济 领域的战略筹码。与此同时，量子安全领域正面临从单一的量子密钥分发 （QKD）、抗量子密码学（PQC）到二者融合的技术升级。同时，全球主 要经济体根据各自的战略定位与产业基础，也在探索多元并进的安全防护 模式；而在量子传感领域，针对于各物理量的测量均已实现了跨越式进化， 中国科学院大学对双场量子密钥分发的相位误码率采用了更精确的估计方法，有效降低了 误码率，从而提高了系统的安全性。 • 美国西北大学展示了在承载传统电信流量的光纤上实现量子隐形传态，实验在30.2公里的 光纤上进行，该光纤同时承载400-Gbps的C波段经典流量。 • 华东理工大学使模式匹配量子密钥分发方案适用于至长度、衰减不对称信道，显著降低非 对称信道对性能的影响。 量子密钥分发 • 美国 美国Apple公司宣布对其iMessage通讯平台进行升级，此次升级采用PQ3加密技术。 • 中电信量子搭建融合量子密钥分发的分布式密码系统架构，同时，构建起量子密钥分发、 抗量子密码与经典密码深度融合的新型密码体系。 抗量子加密 • 韩国SK电讯与KCS公司共同开发的量子密码芯片QKEV7，此芯片集量子随机数发生器与加 密通信功能于一体，有物理不可克隆等技术，且轻量、低功耗。 • 硅臻研

10 AMD SEV(-ES)/ CSV 1+2 / Intel SGX 2.0 / Intel TDX 1.0 OS 提供 TEE 有关的 Kubernetes 基础服务 (如集群规模的密钥分发和同步服务、集群远程证明服务等），使得 用户可以方便地将集群中多台 TEE 机器当作一个更强大的 TEE 来使用。 • 代码库：https://github.com/SOFAEnclave/KubeTEE 权限后攻击虚拟机，给虚拟机最终用户造成重大损失。 解决方案 CSV是海光自主研发的安全虚拟化技术，采用国密算法实现，CSV虚拟机在写内存数据时CPU硬件自动加密 ，读内存数据时硬件自动解密，每个CSV虚拟机使用不同的密钥。海光CPU内部使用ASID（Address Space ID） 区分不同的CSV虚拟机和主机，每个CSV虚拟机使用独立的Cache、TLB等CPU资源，实现CSV虚拟机、主机之间 的资源隔离。CS 与VM相比，TD额外增加了以下能力： • 提供了VM内存的机密性和完整性保护 • 地址转换完整性保护 • CPU状态机密性和完整性保护 • 对安全中断和异常的分发机制 • 远程证明 TDX技术综合了MKTME（多密钥全加密内存）与VMX虚拟化技术，再添加新的指令集、处理器模式和强制 实施的访问控制等设计。 16 17 Unmodified Applications Unmodified Drivers TDX-

品能力、防御策略等的有效性 运营挑战：安全运营事件层出不穷，如何持续提升运营效率？ 安全运营现状 误报事件 授权事件 情报事 件 主机安全事 件 SOC （威胁情报、漏洞情报） （密钥泄露、代码泄露等） （HIDS） （控制台操作） 良性 事件 泄露事件 恶意事件 （漏洞误报等） 误配置 （产品/系统/应用不当配置） 暴力破解 （暴力破解成功） 木马事件 （木马/病毒/webshell等） 识别能力 700+漏洞情报渠道 供应链挖掘渠道 移动应用发现平台 自动化渗透平台 多种DNS查询数据 代码仓库泄漏分析 HW PoC库 动静态数据 小程序风险库 0day漏洞库 密钥数据特征库 数万个 精准指纹库 数百个计算节点 4600+黑产渠道 话术剧本库 攻防情报联动 云鼎实验室 弱口令库 玄武实验室 行业研究团队 平台与资源支撑 战术经验与人员储备 暴露面发现（技术） 告警分析 情报源挖掘 策略调优 分析研判 情报加工 情报联动 运营流程 运营平台 运营团队 持续检测与防御 影响面分析平台 可编排发现引擎 PoC检测 供应链挖掘 云配置风险库 密钥数据特征库 话术剧本库 精准指纹库匹配 JS 特征库 DNS查询数据 外部影响面 内部影响面 PoC转化 巡检数据返回 分级处置 P0 SLA：<2h P1 SLA：<6h P2 SLA：<72h

成端到端的加密方案，有效的保障应用程序的安全性。 系统级应用加密具有如下优点： ⚫ 应用端到端加密，应用启动后在内核内按需解密执行。 ⚫ 系统级的解密优化，相对于传统加壳等加固方式对性能的影响更小。 ⚫ 解密密钥经过安全传输后存储在系统 TEE 环境中，更加安全。 2.2.1.3 密码自动填充服务 密码保险箱作为 HarmonyOS 系统纯净安全功能，为用户提供了便捷的免密登录体验。 用户在应用 Architecture Kit（加解密算法框架服务） Crypto Architecture Kit 屏蔽了第三方密码学算法库实现差异的算法框架，提供加解密、 签名验签、消息验证码、哈希、安全随机数、密钥派生等相关功能。 开发者可以通过调用加解密算法框架服务，忽略底层不同三方算法库的差异，实现迅捷 开发。 加解密算法框架服务约束与限制： ⚫ Crypto Architecture Kit Kit（密钥管理服务） Universal Keystore Kit（密钥管理服务，下述简称为 HUKS）向业务/应用提供各类密 钥的统一安全操作能力，包括密钥管理（密钥生成/销毁、密钥导入、密钥证明、密钥协商、 密钥派生）及密钥使用（加密/解密、签名/验签、访问控制）等功能。 HUKS 管理的密钥可以由业务/应用导入或调用 HUKS 的接口生成。同时，HUKS 提供 了密钥访问控制能力，确保存储在

......55 五、量子应用协议运行示例...................................................................57 5.1 量子密钥分发............................................................................58 IV 5.2 分布式量子计算.. 量子通信 量子通信包括量子密钥分发、量子隐形传态、量子安全直接通信、 量子秘密共享和量子密集编码等，这里我们主要介绍前三种通信方案。 更多关于量子通信内容可以参考书籍[4]和文献[6]。 （1）量子密钥分发 保密通信的思想是发送方先将信息加密成密文，然后将密文通过 信道发送给接收方，接收方再用密钥解密。由于密文是被加密过的信 息，即使窃听者将密文截获，也需要正确的密钥才可以得到准确的信 息内容，否则就难以获取信息。所以只要通信双方事先可以共享绝对 安全的密钥，那么就可以确保信息的传送是绝对安全的。经典通信中 的加密是基于数学计算复杂度来实现的。一些好的加密算法通常是经 典计算机无法在多项式时间内有效求解的，那么这类算法被认为是暂 时安全的。由于经典通信的信息安全是基于数学计算复杂度的，其算 法无法保证绝对的安全，所以有时候就会出现算法被破解造成信息不 安全而需要更换新

算仍需长期攻关，行业领域应用探索持续深化，“杀手级”应用尚未 实现落地，产业生态培育稳步推进。 量子通信基于量子叠加态或纠缠效应，在经典通信辅助下实现 密钥分发以及信息传输，在理论协议层面具有可证明安全性。基于 量子密钥分发和量子随机数发生器等技术方案的量子保密通信系统 正初步进入实用化阶段，在新型协议研究和实验系统研制等方面持 续取得阶段性成果，样机产品研发和应用探索持续推进，推广大规 随着量子计算技术的不断进步和云平台功能的日益成熟，量子 计算云平台已成为用户访问量子计算资源、开展实验验证和应用探 索的重要辅助工具之一。 (二)量子通信 1.量子保密通信科研和前沿探索取得新成果 基于量子密钥分发（QKD）、量子随机数发生器（QRNG）等技 术方案的量子保密通信初步实现实用化。近年来在科研领域持续探 索新型协议，稳步提升样机技术水平，系统实验验证持续开展，前 沿探索取得诸多新成果。 5 公里光纤传输 中实现 1.09 Gbit/s 密钥成码率，为接入网提供可能的高速 QKD 解 决方案84。 QKD 前沿实践探索方面，研制并应用新型光纤、信道和器件是 重要的发展方向。2024 年，丹麦技术大学基于 52 公里现网 4 芯光 纤完成了四维混合时间路径编码 QKD 系统传输实验，可达到 51.5kbit/s 的密钥成码率，这类多芯光纤有望提升高维 QKD 系统传